Android und BYOD im Unternehmen: Wie private Smartphones zum Einfallstor werden

Das eigene Smartphone für berufliche E-Mails, Teams-Nachrichten oder den schnellen Blick in den Kalender zu nutzen, ist in vielen kleinen und mittleren Unternehmen längst Alltag. Dieses Modell nennt sich BYOD ("Bring Your Own Device"). Es spart Hardwarekosten und ist bequem, doch es verschiebt Geschäftsdaten auf Geräte, die das Unternehmen weder kennt noch kontrolliert. Vor allem Android-Geräte stehen dabei verstärkt im Visier von Angreifern.

Warum private Android-Geräte zum Risiko werden

Das Problem ist selten das Betriebssystem selbst, sondern der Mix aus privater und beruflicher Nutzung. Auf einem privaten Smartphone landen Banking-Apps, Spiele, App-Installationen aus inoffiziellen Quellen und berufliche Zugangsdaten nebeneinander. Wird das Gerät kompromittiert, sind im schlimmsten Fall auch das Firmenpostfach und die Microsoft-365-Anmeldedaten betroffen.

Die Bedrohungslage hat sich zuletzt deutlich verschärft. Der Mobile Threat Report 2025 von Kaspersky verzeichnet einen Anstieg der Angriffe mit Android-Banking-Trojanern um 56 Prozent im Jahresvergleich; insgesamt wurden rund 14 Millionen Angriffe auf mobile Geräte blockiert. Die häufigste Kategorie bleibt mit etwa 62 Prozent zwar aufdringliche Werbe-Software (Adware), die eigentliche Gefahr liegt aber bei spezialisierter Schadsoftware, die Zugangsdaten und Zahlungsinformationen abgreift. Sicherheitsforscher beobachten zudem Schädlinge, die kontaktlose NFC-Zahlungsdaten abfangen, sowie vorinstallierte Hintertüren auf günstigen Geräten.

Die typischen Einfallstore bei BYOD

Bei privaten Android-Geräten kommen mehrere Risikofaktoren zusammen:

• Veraltete Systeme: Viele günstige Android-Geräte erhalten nur kurz Sicherheitsupdates. Bekannte Lücken bleiben dann offen.
• Apps aus Drittquellen: Wird die Installation aus unbekannten Quellen erlaubt, gelangen manipulierte Apps am Schutz von Google Play vorbei aufs Gerät.
• Phishing und gefälschte Apps: Schadsoftware tarnt sich als Rabatt-, Liefer- oder Banking-App und verleitet zur Installation.
• Fehlende Trennung: Ohne technische Trennung liegen Firmen- und Privatdaten in denselben Apps. Geht das Gerät verloren, fehlt die Möglichkeit, gezielt nur die Firmendaten zu löschen.
• Offene Funkschnittstellen: Dauerhaft aktiviertes WLAN und automatische Verbindungen in öffentlichen Netzen vergrößern die Angriffsfläche.

So sichern KMU mobile Geräte sinnvoll ab

Ein Verbot privater Geräte ist meist unrealistisch. Wichtiger ist ein pragmatischer Rahmen, der Privatsphäre der Mitarbeitenden und Schutz der Firmendaten in Einklang bringt.

1. Klare BYOD-Richtlinie: Legen Sie schriftlich fest, welche Geräte zugelassen sind, welche Daten verarbeitet werden dürfen und was bei Verlust passiert. 2. Datentrennung statt Vollzugriff: Microsoft 365 bietet mit App-Schutzrichtlinien (Mobile Application Management) die Möglichkeit, Firmendaten in den Office-Apps zu isolieren, ohne das gesamte private Gerät zu verwalten. So lässt sich der Firmenbereich aus der Ferne löschen, während private Fotos und Apps unberührt bleiben. 3. Mehr-Faktor-Anmeldung: Selbst gestohlene Zugangsdaten nützen Angreifern wenig, wenn ein zweiter Faktor die Anmeldung absichert. 4. Updates und App-Disziplin: Nur aktuelle Geräte zulassen und Installationen ausschließlich aus offiziellen App-Stores. 5. Sensibilisierung: Mitarbeitende sollten typische Maschen wie gefälschte Apps und Phishing-Nachrichten erkennen.

Wer diese Bausteine kombiniert, senkt das Risiko erheblich, ohne in die Privatsphäre der Belegschaft einzugreifen. Eine Einordnung zentraler Begriffe finden Sie in unserem Cybersicherheits-Lexikon, und welche Schutzfunktionen in Ihren Lizenzen stecken, zeigt unsere Übersicht zu Microsoft 365.

Häufige Fragen

Ist BYOD überhaupt mit dem Datenschutz vereinbar?

Ja, wenn Privates und Berufliches technisch getrennt werden. Über App-Schutzrichtlinien greift das Unternehmen nur auf den Firmenbereich zu. Eine schriftliche Vereinbarung mit den Mitarbeitenden ist Pflicht und schafft Klarheit auf beiden Seiten.

Reicht ein kostenloser Virenscanner auf dem Smartphone?

Ein Scanner allein reicht nicht. Entscheidend sind aktuelle Updates, die Datentrennung im Firmenbereich, Mehr-Faktor-Anmeldung und der Verzicht auf Apps aus unsicheren Quellen. Schutz entsteht erst im Zusammenspiel dieser Maßnahmen.

Müssen wir für die Trennung jedes private Gerät komplett verwalten?

Nein. Mit Mobile Application Management lassen sich Firmendaten in den Apps schützen, ohne das gesamte Gerät unter Verwaltung zu stellen. Das ist für BYOD-Szenarien meist der praktikablere Weg.

So unterstützt Sie die High5Manufaktur GmbH

Die High5Manufaktur GmbH hilft KMU im Raum Karlsruhe dabei, mobile Geräte sicher in Microsoft 365 einzubinden, ohne die Belegschaft zu bevormunden. Wir entwickeln mit Ihnen eine passende BYOD-Richtlinie, richten App-Schutzrichtlinien und Mehr-Faktor-Anmeldung ein und betreuen den laufenden Betrieb über unsere Managed Services. Vereinbaren Sie ein unverbindliches Erstgespräch, in dem wir Ihre aktuelle Situation einordnen und konkrete nächste Schritte vorschlagen.

Quellen

• Kaspersky: The mobile threat landscape in 2025 (Securelist)